Anleitung Organisational Units (OUs)

In dieser Anleitung erfahren Sie, wie das Universitätsrechenzentrum Organisationseinheiten für EDV-Beauftragte innerhalb der Domäne ad.uni-heidelberg.de einrichtet. Außerdem wird beschrieben, wie ein Rechner an der Domäne angemeldet werden kann, sobald ein Konto angelegt ist.

Das Universitätsrechenzentrum kann eine Organisationseinheit (engl. organizational unit, daher OU) für Institute innerhalb der Domäne ad.uni-heidelberg.de einrichten. Für diese OU und alle untergeordneten Objekte und ggf. damit verknüpfte Gruppenrichtlinienobjekte ist das Institut selbst verantwortlich, jedoch müssen Benutzer:innenkonten den unten erläuterten Konventionen genügen.

Zielgruppe

EDV-Beauftragte, die eine eigene Anbindung als organisatorische Einheit (OU) an die Windows-Active-Directory-Domäne benötigen.

Nutzung

Die Instituts-OU wird vom URZ mit dem Namen Institutskürzel unterhalb der OU Institute auf Antrag über den IT-Service eingerichtet. Dabei sollte das Institutskürzel und die Benutzeridentifikation, die zur Verwaltung der OU genutzt werden soll, angegeben werden. Diese Benutzer:innenidentifikation muss auf den Namen des:der EDV-Beauftragten lauten. Die Instituts-OU-Administrator:innen-Kennung wird dann vom URZ mit allen für die Verwaltung der OU nötigen Rechte ausgestattet. Außerdem wird die dazugehörige E-Mail-Adresse vom URZ für alle die OU betreffenden Hinweise verwendet.

Der Zugriff auf die Instituts-OU erfolgt über die bereitgestellte Konsole, welche auf dem Terminalserver ts-mita.ad.uni-heidelberg.de gestartet wird (dort mit der Instituts-OU-Administrator:innen-Kennung via Remotedesktopverbindung anmelden). Unterhalb der Instituts-OU kann der Instituts-OU-Administrator weitere OUs anlegen.

Konventionen für Benutzer:innenkonten

Die Institute können in ihren Instituts-OUs eigene Benutzer:innenkonten anlegen, z. B. für Gäste. Diese Benutzer:innen sind nicht berechtigt, Ressourcen des URZ in Anspruch zu nehmen. Insbesondere dürfen sie nicht auf den Druckern des URZ drucken, erhalten keinen Plattenplatz (kein Homeverzeichnis), kein Profil und auch keine URZ-E-Mail-Adresse. Wir empfehlen daher, sofern absehbar ist, dass der:die Benutzer:in Ressourcen des URZ brauchen wird, gleich eine reguläre Benutzer:innenidentifikation zu beantragen.

Für die Benutzer:innenkonten gilt:

  1. Sie müssen mindestens 4 Zeichen haben
  2. Es dürfen keine rechtlich geschützten Namen verwendet werden

Computerkonten

Computer können in die Domäne aufgenommen werden. Zuvor muss jedoch in der Domäne ein Konto für den Rechner angelegt werden. Sie finden dazu in der Ihnen vom URZ bereitgestellten Konsole einen entsprechenden Menu-Punkt.

Bitte beachten Sie, dass Sie alle PCs im Nameservice eintragen lassen müssen, und zwar mit einem Namen der Form Rechnername.Suffix, wobei das Suffix Institutskürzel.uni-heidelberg.de lauten muss. Um die PCs eintragen zu lassen, schicken Sie bitte eine Anfrage an den IT-Service.

Sobald die Konten angelegt sind, muss jeder Rechner noch an der Domäne angemeldet werden:

1. Arbeitsplatz -> Rechte Maustaste -> Eigenschaften -> Computername -> Ändern...

2. Computername eintragen. Wichtig ist, dass der Computername derselbe ist, den Sie oben beim Anlegen des Computerkontos als Computernamen angegeben haben.

3. Neustart, damit die Namensänderung wirksam wird.

Screenshot: Anleitung_OrganisationalUnits_Schritt1

4. Dann nochmal Arbeitsplatz -> Rechte Maustaste -> Eigenschaften -> Computername -> Ändern... Jetzt „Mitglied von Domäne“ anklicken und ad.uni-heidelberg.de eintragen.

Screenshot: Anleitung_OrganisationalUnits

5. Unter Weitere... das Suffix eintragen und den Haken bei Primäres DNS-Suffix bei Domänenmitgliedschaftsänderung ändern entfernen. Ab Windows 7 lassen sich die PC nur mit dem Standardsuffix in der Domäne anmelden. D.h. Sie müssen den PC zunächst anmelden, neu booten und dann das Suffix ändern und den Haken entfernen.

6. OK anklicken.

7. Sie werden dann nach obiger Benutzer:innenidentifikation (der Instituts-OU-Administrator:innen-Kennung) und Kennwort gefragt.

8. Nach einiger Zeit werden Sie von der Domäne begrüßt und zu einem Neustart aufgefordert.

Screenshot: Anleitung_OrganisationalUnits

Gruppenrichtlinien setzt der Instituts-Administrator:innen selbst. Allerdings können nach Absprache Standardrichtlinien, z. B. das automatische Beziehen der Windows-Updates, auch vom URZ eingerichtet werden. Außerdem können die im AD vorhandenen Richtlinien für die Instituts-OUs übernommen werden. Wir empfehlen aber, sorgfältig zu testen, wie diese sich auf die Instituts-PCs auswirken. Bitte beachten Sie folgende Wirkungsweise der Gruppenrichtlinien: sie werden mit einer OU verknüpft. D. h., sie wirken auf die in der OU enthaltenen Objekte. Mit Gruppen haben sie also nichts zu tun.

Es gibt verschiedene Richtlinienvorlagen für Rechner und für Benutzer:innen. Erstere finden sich unter Computerkonfiguration, letztere unter Benutzer:innenkonfiguration. Setzen Sie eine der Richtlinien unter Benutzer:innenkonfiguration, wirkt die also auf alle Benutzer:innen in der OU, mit der Sie sie (bzw. das Gruppenrichtlinienobjekt) verknüpfen. Befinden sich in der fraglichen OU nur Rechner, bleibt sie daher wirkungslos.

Screenshot: Anleitung_OrganisationalUnits